Продолжаем делиться с вами крутыми материалами по теме информационной безопасности, которые обнаружили в сети. И не могли обойти вниманием достойный англоязычный подкаст Darknetdiaries. Один из его эпизодов – это разговор двух опытных пентестеров (Гари и Джастина).
Они рассказывают историю о том, чем для них обернулся однажды аудит безопасности. Пентестеры взломали входы в помещения и ИТ-инфраструктуру суда, а всего несколько часов спустя оказались там же, но как подсудимые. Доказать невиновность им удалось только месяцы спустя, так что историю можно вполне считать драматичной, если бы не чувство юмора рассказчиков.
Делимся находкой и для удобства пересказываем историю от третьего лица. Пентестеры раскрывают лишь малую часть приемов, которые используют в работе, чтобы не дарить информацию тем, кто решит воспользоваться ею в преступных целях.
Оригинал для желающих тут – и в аудио, и в текстовом формате.
Гари и Джастин – сотрудники компании Coalfire, которая предоставляет услуги пентеста, дает заказчикам отчеты о проблемах физической и информационно безопасности, вырабатывает для них стратегии по противодействию социальной инженерии. Одним таким крупным заказчиком стала госорганизация, ей нужно было проверить системы безопасности в зданиях судов. Стороны договорились о масштабах тестирования, возможных сценариях проникновения. Coalfire в рамках обычной практики оформила юридические соглашения, чтобы действия их сотрудников нельзя было бы трактовать как грабеж.
Нужно было обеспечить максимальную реалистичность. О проводимом испытании в суде знали только вице-президент компании, начальник службы безопасности, руководитель группы физической безопасности.
Что входило в задачи пентестеров? Обойти помещения, проверить, есть ли разблокированные компьютеры, пароли или другая конфиденциальная информация в свободном доступе (на стикерах, в блокнотах, на маркерных досках); работают ли системы сигнализации, замки на дверях. Но сначала им нужно было в здание попасть. Гари и Джастин решили, что используют для этой цели вентиляцию.
По легенде они были сотрудниками службы безопасности. Без особого труда, они выяснили daily security code (код доступа, который генерируется каждый день). То же проделали и во втором здании суда, где получили доступ к внутренней сети и программе, которая назначает ежедневный код.
К третьему зданию они подобрались в полной боеготовности: у них были и коды, и планы этажей, и сильная легенда. Ничего не должно было вызвать подозрения. Тем не менее на этом этапе Гари и Джастина все же раскусили. Но для пентестеров это не повод отказываться от планов. Даже если их арестовывают, они стараются придумать новую историю, чтобы продолжить работу и найти как можно больше уязвимостей в системе безопасности заказчика. Так и в этот раз. Один из пентестеров смог заболтать сотрудников, пока второй пытался попасть в служебные помещения, узнавая, как устроены сигнализации, где расположены сейфы. В результате они смогли выбраться без проблем.
Не на ту напали
О дальнейшем задании им сообщили по телефону. Способ проникновения был тот же, но в этот раз легенда долго не прожила. Пентестеры попытались продолжить под прикрытием другой, но и это не сработало. Они столкнулись с невероятно бдительной работницей филиала, которую не пронимали никакие доводы. Она позвонила в полицию. Оказалось, что женщина была помощником управляющего филиалом, начальства на месте не было, и она была максимально бдительной, если не сказать маниакально бдительной. Насколько только должен быть сотрудник финансовой службы.
Только теперь Гари и Джастин были вынуждены раскрыться и признать, что они пентестеры. Но доверие сотрудницы уже было подорвано, она не хотела ничего слышать, хотя все же позвонила начальнику службы безопасности. К удивлению пентестеров тот отрицал проведение каких-либо испытаний. Это уже было поводом занервничать. К счастью, через минуту начальник СБ перезвонил и признал, что, действительно, «грабители» работают в законе и их наняли для проведения теста.
Если бы все сотрудники организации действовали как эта бдительная женщина, можно было бы признать, что система безопасности заказчика выстояла. Но большинство других сотрудников не проявляли внимания к подозрительным посетителям, в результате чего Гари и Джастину удалось без особых проблем пройтись по всем трем зданиям суда. Клиент был впечатлен результатами и был обещал, что устранит все проблемы безопасности.
Год спустя
Все рассказанное выше – преамбула. Драма развернулась год спустя, когда пентестеров пригласили вернуться с новым аудитом, он должен был быть более серьезным.
На новый проект отводилась неделя, у пентестеров был почти полный карт-бланш – им можно было делать что угодно: использовать отмычки, вламываться через черный ход, копаться в мусорных контейнерах, подключать флешки. Единственное, что им было запрещено, – это отключать систему сигнализации.
Обязательства тестеров были прописаны на 28 страницах. Страховкой на случай ареста служил список людей – сотрудников судебной системы штата Айова, которые были посвящены в процесс и могли доказать, что пентестеры не были преступниками.
Первый день недельного проекта прошел без происшествий. Пентестеры проникли в здание ночью, сфотографировали найденные признаки проблем с безопасностью. На столе заказчика оставили свою визитку – как доказательство, что они проникли внутрь, сообщили ему обо всех своих находках.
Следующий заход был во вторник, и на эту ночь был назначен взлом дверей на этажи, где проходили заседания суда. Первая дверь поддалась легко, со второй возникли проблемы – у нее обнаружился скрытый защитный механизм, который пентестеры не увидели. У них на пути также оказалась комната с мониторами со всех камер безопасности, куда они смогли попасть. По камерам они увидели, что коридоры обходит сотрудник службы безопасности. Чтобы не попасться на глаза, пентестеры воспользовались укрытием в «слепых зонах», а после продолжили испытания. Но ненадолго – прозвучала сигнализация. Оказалось, что этажные двери, через которые они прошли, остались подпертыми. Несмотря на то, что сработала тревога, свои задачи на эту ночь пентестеры выполнили и со смехом вспоминали, как прятались от СБ в груде вещей.
Время оставалось, и они продолжили проверять другое здание суда. Когда они уже собирались войти, выяснилось, что дверь в него открыта. Они толкнули ее, но сигнализация не сработала. После нескольких попыток пробудить сигнализацию, они решили закрыть дверь, чтобы согласно своей задаче взломать. И как только они начали ее вскрывать, услышали предупреждающий сигнал, а следом – настоящую тревогу. Это произошло так быстро, что времени ввести код безопасности, чтобы остановить сигнализацию, не оставалось. Она орала так громко, что слышал весь город. Пентестерам оставалось только дожидаться полиции.
«Вот твой рыжий костюм»
Когда появился полицейский, они рассказали ему, кто они такие и кем наняты. Наняты они были заказчиками штата Айова, приехавшие полицейские были окружного подчинения, а потому пентестеры решили не откладывать и сразу достали свою страховку от ареста – секретный список контактов. Двое из трех не взяли трубку. Третий сказал, что сможет все уладить утром. В компании-работодателе Coalfire из-за позднего часа никто не отвечал.
Затем история приняла решительный оборот – появился шериф. Он сказал, что у тестеров не было разрешения на испытания, так как заказчики – не собственники здания суда.
Провести час-два в камере до выяснения обстоятельство – худший сценарий для пентестеров. Но оказалось, что все еще хуже. Шериф заявил, что Гари и Джастин должны быть арестованы за кражу со взломом. Их допросили в разных комнатах, никакие документы, которые должны были их обезопасить, не сработали. Все имеющиеся у них инструменты, нужные для работы, казались полиции орудиями преступления. Таким образом пентестерам грозил срок не только за проникновение, но и за хранение незаконных приспособлений.
Небольшое лирическое отступление. Одно из приспособлений пентестеров – это т.н. under-the-door tool (название, которому мы не нашли достойного перевода на русский, но приводим иллюстрацию).
Они сообщают, что такой «гаджет» позволяет им открыть дверь с плоской ручкой проще, чем с помощью отмычек. Гари и Джастин утверждают, что 80% защелок им удается открыть именно таким способом. Сложнее бывает с круглыми ручками.
Но вернемся к рассказу.
Еще несколько минут – и пентестерам уже надели оранжевые комбинезоны как настоящим заключенным, поместили в камеру.
На утро у Гари и Джастина была назначена встреча с судьей. По иронии судьбы – в том же самом здании суда, которое они штурмовали ночью. Только теперь их сопровождали полицейские.
Пентестеры оказались совершенно незащищенными – человек из секретного списка, который должен был разъяснить в суде ситуацию, не пришел. Два остальных контакта так и не ответили, а представители работодателя просто не успели ко времени судебного заседания.
Судья не поверила ни единому слову, сказанному Гари. Более того, ее возмущало, что такие вещи, как пентестинг, вообще существуют, тем более в госучреждениях. Она назначила залог в 5000 долларов.
Но прокурор округа посчитал эту сумму недостаточной. Как только судья узнала, что «грабители» орудовали не где-то, а в ее здании суда, то рьяно поддержала прокурора. Так сумма залога выросла до 50 000 долларов. Плюс впереди маячил срок в семь лет тюрьмы!
«Вломиться? А кто вас об этом просил?!»
Работодатель заплатил залог, Гари и Джастин вышли из заключения. Они наняли по юристу и тогда выяснилось, что участники судебного разбирательства только сами пентестеры, следствие не принимало в рассмотрение участие какой-то третьей стороны в виде заказчика. Все оборачивалось более страшными последствиями, чем казалось сначала.
Расследование длилось несколько месяцев. В местных новостях утверждали, что суд нанимал пентестеров только для проверки информационной безопасности, а не физического взлома. На этом стоял заказчик, Coalfire демонстрировал контракт, где было сказано, что взлом был согласован. Так стороны перебрасывались аргументами, оспаривая пункты, казалось, идеально составленного договора.
Эти препирательства наконец выявили важное разногласие. Тест на проникновение заказали представители штата. А шериф, судья и прокурор, будучи служащими округа о решении штата не знали и поэтому имели полное право принять пентестеров за преступников.
Так, наконец, в расследовании появилась третья сторона. Суд стал разбираться, были ли действия штата законными. Адвокат говорил, что да, ведь государство – законный арендатор имущества округа и может принять меры для обеспечения его безопасности.
Окружной прокурор был не согласен и продолжал возражать. Возражали и сенаторы, которые говорили о «значительной опасности не только подрядчиков, но и правоохранительных органов и общественности».
Расследование завершилось тем, что суд признал право штата на найм пентестеров. Так тяжкие обвинения были сняты, но остались обвинения в мелких правонарушениях. Это нельзя было назвать хорошим исходом для пентестеров и они продолжили борьбу за то, чтобы обелить свои честные имена.
В итоге 30 января 2020 года обвинения с пентестеров были сняты, Гари и Джастин стали свободными людьми. Кроме вымотанных нервов, потерянного времени они понесли и другой ощутимый ущерб – репутационный. Ведь в глазах заказчиков они теперь навсегда остались теми, кто вызвал подозрение правоохранителей. Но главное, они стали знамениты на все штаты. А известность – совсем не нужный спутник в работе пентестеров.